Justisio

Peraturan Presiden Nomor 82 Tahun 2022 Tentang Pelindungan Infrastruktur Informasi Vital

Dasar Hukum
Peraturan Terkait
Histori
Lampiran

Pasal 1

Dalam Peraturan Presiden ini yang dimaksud dengan:
1.
Infrastruktur Informasi Vital yang selanjutnya disingkat IIV adalah Sistem Elektronik yang memanfaatkan teknologi informasi dan/atau teknologi operasional, baik berdiri sendiri maupun saling bergantung dengan Sistem Elektronik lainnya dalam menunjang sektor strategis, yang jika terjadi gangguan, kerusakan, dan/atau kehancuran pada infrastruktur dimaksud berdampak serius terhadap kepentingan umum, pelayanan publik, pertahanan dan keamanan, atau perekonomian nasional.
2.
Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.
3.
Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, kode akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.
4.
Keamanan Siber adalah upaya adaptif dan inovatif untuk melindungi seluruh lapisan ruang siber termasuk aset informasi yang ada di dalamnya, dari ancaman dan serangan siber, baik bersifat teknis maupun sosial.
5.
Insiden Siber adalah satu atau serangkaian kejadian yang mengganggu atau mengancam berjalannya Sistem Elektronik.
6.
Tim Tanggap Insiden Siber adalah sekelompok orang yang bertanggung jawab menangani Insiden Siber dalam ruang lingkup yang ditentukan terhadapnya.
7.
Kementerian atau Lembaga adalah Instansi Penyelenggara Negara yang bertugas mengawasi dan mengeluarkan pengaturan terhadap sektornya.
8.
Penyelenggara IIV adalah Instansi Penyelenggara Negara, badan usaha, dan/atau organisasi yang memiliki dan/atau mengoperasikan IIV.
9.
Instansi Penyelenggara Negara adalah institusi legislatif, eksekutif, dan yudikatif di tingkat pusat dan daerah dan instansi lain yang dibentuk dengan peraturan perundang-undangan.
10.
Badan Siber dan Sandi Negara yang selanjutnya disebut Badan adalah lembaga pemerintah yang melaksanakan tugas pemerintahan di bidang keamanan siber dan sandi.

Pasal 2

Pengaturan pelindungan IIV bertujuan untuk:
a.
melindungi keberlangsungan penyelenggaraan IIV secara aman, andal, dan tepercaya;
b.
mencegah terjadinya gangguan, kerusakan, dan/atau kehancuran pada IIV akibat serangan siber, dan/atau ancaman/kerentanan lainnya; dan
c.
meningkatkan kesiapan dalam menghadapi Insiden Siber dan mempercepat pemulihan dari dampak insiden Siber.

Pasal 3

Ruang lingkup pelindungan IIV meliputi:
a.
identifikasi sektor IIV dan IIV;
b.
penyelenggaraan pelindungan IIV;
c.
pembinaan dan pengawasan penyelenggaraan pelindungan IIV; dan
d.
koordinasi penyelenggaraan pelindungan IIV.

Pasal 4

(1)
Sektor IIV meliputi:
a.
administrasi pemerintahan;
b.
energi dan sumber daya mineral;
c.
transportasi;
d.
keuangan;
e.
kesehatan;
f.
teknologi informasi dan komunikasi;
g.
pangan;
h.
pertahanan; dan
i.
sektor lain yang ditetapkan Presiden.
(2)
Sektor lain yang ditetapkan oleh Presiden sebagaimana dimaksud pada ayat (1) huruf i merupakan sektor strategis yang jika terjadi gangguan, kerusakan, dan/atau kehancuran pada IIV dalam sektor dimaksud berdampak serius terhadap kepentingan umum, pelayanan publik, pertahanan dan keamanan, atau perekonomian nasional.
(3)
Kementerian atau Lembaga dari sektor IIV sebagaimana dimaksud pada ayat (1) huruf a sampai dengan huruf h ditetapkan sebagai berikut:
a.
Badan untuk sektor administrasi pemerintahan;
b.
kementerian yang menyelenggarakan urusan pemerintahan di bidang energi dan sumber daya mineral untuk sektor energi dan sumber daya mineral;
c.
kementerian yang menyelenggarakan urusan pemerintahan di bidang transportasi untuk sektor transportasi;
d.
otoritas pengatur dan pengawas sektor keuangan untuk sektor keuangan;
e.
kementerian yang menyelenggarakan urusan pemerintahan di bidang kesehatan untuk sektor kesehatan;
f.
kementerian yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika untuk sektor teknologi informasi dan komunikasi;
g.
kementerian yang menyelenggarakan urusan pemerintahan di bidang pertanian untuk sektor pangan; dan
h.
kementerian yang menyelenggarakan urusan pemerintahan di bidang pertahanan untuk sektor pertahanan.

Pasal 5

(1)
Presiden menetapkan sektor lain sebagaimana dimaksud dalam ayat (2) dan Kementerian atau Lembaga yang membidangi sektornya atas usulan Kepala Badan.
(2)
Usulan sektor lain sebagaimana dimaksud pada ayat (1) disampaikan kepada Presiden berdasarkan hasil rapat koordinasi penyelenggaraan pelindungan IIV.
(3)
Sektor lain dan Kementerian atau Lembaga sebagaimana dimaksud pada ayat (1) ditetapkan dengan Keputusan Presiden.

Pasal 6

(1)
Setiap penyelenggara Sistem Elektronik lingkup sektor IIV sebagaimana dimaksud dalam ayat (1) wajib melakukan identifikasi IIV secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
(2)
Setiap penyelenggara Sistem Elektronik lingkup sektor IIV wajib melaporkan hasil identifikasi IIV sebagaimana dimaksud pada ayat (1) beserta informasi yang relevan kepada Kementerian atau Lembaga.
(3)
Kementerian atau Lembaga melakukan verifikasi terhadap laporan hasil identifikasi IIV sebagaimana dimaksud pada ayat (2).
(4)
Kementerian atau Lembaga menetapkan:
a.
Sistem Elektronik menjadi IIV; dan
b.
penyelenggara Sistem Elektronik pada lingkup sektor IIV sebagai Penyelenggara IIV, berdasarkan hasil verifikasi laporan identifikasi IIV sebagaimana dimaksud pada ayat (3).
(5)
Ketentuan lebih lanjut mengenai identifikasi IIV, pelaporan hasil identifikasi, mekanisme verifikasi, penetapan IIV, dan penetapan penyelenggara IIV diatur dengan Peraturan Badan.

Pasal 7

(1)
Badan menyusun kerangka kerja pelindungan IIV sebagai pedoman.
(2)
Kerangka kerja sebagaimana dimaksud pada ayat (1) memuat paling sedikit:
a.
penyelenggaraan pelindungan IIV;
b.
pembinaan dan pengawasan penyelenggaraan pelindungan IIV sesuai dengan ketentuan peraturan perundang-undangan; dan
c.
teknologi pelindungan IIV.
(3)
Badan menyusun kerangka kerja sebagaimana dimaksud pada ayat (1) berkoordinasi dengan Kementerian atau Lembaga.
(4)
Ketentuan lebih lanjut mengenai kerangka kerja sebagaimana dimaksud pada ayat (1) diatur dengan Peraturan Badan.

Pasal 8

(1)
Kementerian atau Lembaga menyusun dan menetapkan peta jalan pelindungan IIV untuk jangka waktu 5 (lima) tahun dengan mengacu pada kerangka kerja pelindungan IIV sebagaimana dimaksud dalam ayat (1).
(2)
Peta jalan pelindungan IIV sebagaimana dimaksud pada ayat (1) memuat paling sedikit:
a.
sasaran penyelenggaraan pelindungan IIV; dan
b.
rencana kerja penyelenggaraan pelindungan IIV.
(3)
Kementerian atau Lembaga melakukan reviu terhadap peta jalan pelindungan IIV sebagaimana dimaksud pada ayat (1) setiap tahun.
(4)
Dalam hal berdasarkan hasil reviu sebagaimana dimaksud pada ayat (3) diperlukan perubahan peta jalan pelindungan IIV, Kementerian atau Lembaga menetapkan perubahan peta jalan pelindungan IIV.
(5)
Dalam melakukan penyusunan sebagaimana dimaksud pada ayat (1) dan reviu sebagaimana dimaksud pada ayat (3), Kementerian atau Lembaga dapat berkoordinasi dengan Badan.
(6)
Peta jalan pelindungan IIV yang telah disusun dan ditetapkan sebagaimana dimaksud pada ayat (1) dan perubahan atas peta jalan pelindungan IIV sebagaimana dimaksud pada ayat (4) disampaikan kepada Badan.

Pasal 9

(1)
Penyelenggara IIV harus menyelenggarakan pelindungan IIV secara andal dan aman serta bertanggung jawab terhadap beroperasinya IIV sebagaimana mestinya.
(2)
Dalam menyelenggarakan pelindungan IIV sebagaimana dimaksud pada ayat (1), Penyelenggara IIV wajib menerapkan standar keamanan informasi dan/atau standar keamanan lain yang ditetapkan oleh Kementerian atau Lembaga dan/atau Badan.

Pasal 10

(1)
Setiap Penyelenggara IIV wajib menerapkan manajemen risiko Keamanan Siber secara efektif.
(2)
Penerapan manajemen risiko Keamanan Siber yang efektif sebagaimana dimaksud pada ayat (1) harus memenuhi persyaratan:
a.
kepatuhan terhadap peraturan perundang-undangan;
b.
kesesuaian dengan standar yang berlaku pada masing-masing sektor IIV; dan
c.
sistem pengendalian intern yang berlaku pada Penyelenggara IIV.
(3)
Penyelenggara IIV wajib melaporkan hasil penerapan manajemen risiko Keamanan Siber kepada Kementerian atau Lembaga.
(4)
Dalam hal Kementerian atau Lembaga sebagai Penyelenggara IIV, Kementerian atau Lembaga wajib melaporkan hasil penerapan manajemen risiko Keamanan Siber kepada Badan.
(5)
Ketentuan lebih lanjut mengenai penerapan dan pelaporan hasil penerapan manajemen risiko Keamanan Siber diatur dalam Peraturan Badan.
(6)
Ketentuan mengenai penerapan dan pelaporan hasil penerapan manajemen risiko Keamanan Siber di sektor IIV ditetapkan oleh Kementerian atau Lembaga dengan mengacu pada Peraturan Badan sebagaimana dimaksud pada ayat (5).

Pasal 11

(1)
Penanganan Insiden Siber dilaksanakan oleh Tim Tanggap Insiden Siber.
(2)
Tim Tanggap Insiden Siber sebagaimana dimaksud pada ayat (1) terdiri atas:
a.
Tim Tanggap Insiden Siber nasional;
b.
Tim Tanggap Insiden Siber sektoral; dan
c.
Tim Tanggap Insiden Siber organisasi.

Pasal 12

(1)
Badan membentuk Tim Tanggap Insiden Siber nasional sebagaimana dimaksud dalam ayat
(2)
huruf a.
(2)
Kementerian atau Lembaga membentuk Tim Tanggap Insiden Siber sektoral sebagaimana dimaksud dalam ayat (2) huruf b.
(3)
Penyelenggara IIV membentuk Tim Tanggap Insiden Siber organisasi sebagaimana dimaksud dalam ayat (2) huruf c.

Pasal 13

(1)
Tim Tanggap Insiden Siber organisasi wajib melaporkan Insiden Siber pada IIV lingkup organisasinya kepada Tim Tanggap Insiden Siber sektoral dengan tembusan kepada Tim Tanggap Insiden Siber nasional paling lambat 1 x 24 (satu kali dua puluh empat) jam setelah ditemukan adanya Insiden Siber pada IIV.
(2)
Insiden Siber yang dilaporkan sebagaimana dimaksud pada ayat (1) mengacu kepada hasil penerapan manajemen risiko sebagaimana dimaksud dalam ayat (3).
(3)
Dalam hal belum dibentuk Tim Tanggap Insiden Siber sektoral yang melingkupinya, Tim Tanggap Insiden Siber organisasi wajib melaporkan Insiden Siber yang terjadi pada IIV lingkup organisasinya kepada Kementerian atau Lembaga sesuai sektornya dengan tembusan kepada Tim Tanggap Insiden Siber nasional paling lambat 1 x 24 (satu kali dua puluh empat) jam setelah ditemukan adanya Insiden Siber pada IIV.

Pasal 14

(1)
Tim Tanggap Insiden Siber organisasi wajib melakukan penanganan Insiden Siber pada IIV lingkup organisasinya.
(2)
Penanganan Insiden Siber sebagaimana dimaksud pada ayat (1) dilakukan paling sedikit melalui:
a.
penanggulangan dan pemulihan Insiden Siber;
b.
penyampaian informasi Insiden Siber kepada

Akses Terbatas

Anda melihat 14 dari 17 pasal. Masuk untuk akses penuh.